IT环境下的审计风险判断

作 者:

作者简介:
李松民 杨辉 广州越秀企业集团有限公司审计部

原文出处:
财政监督

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2010 年 07 期

关 键 词:

字号:

      一、引言

      传统的审计流程可划分为三个阶段:审计准备、审计实施和审计终结三个阶段。基于IT环境下的审计风险判断则可划分为识别被审单位风险、评价被审单位的风险控制、持续改进风险判断方法。相关研究表明IT环境下的被审单位风险是由技术因素、组织因素、IT与组织互构因素共同决定的。因此,基于IT视角的审计风险判断的研究应该从这三方面入手,构建基本的研究体系,如图1所示。

      

      图1 基于IT的审计风险判断研究架构

      二、识别和评估IT环境下的被审单位风险

      (一)识别IT环境下被审单位风险。风险识别是以判断或归类的方式对现实的和潜在的风险性质进行鉴别的过程。风险识别是风险管理的第一步,也是风险管理的基础。只有在正确识别出自身所面临风险的基础上,人们才能够主动选择适当有效的方法进行处理。IT环境下的被审单位风险按其来源划分为技术风险、组织风险、IT和组织互构风险,具体结构如图2所示。

      

      图2 1T环境下被审单位风险结构图

      (二)风险评估的方法与工具。风险评估是风险管理的第一步,也是风险管理工作的基础,通过识别可以找寻出企业所面临的各类风险以及风险隐患。识别的方法如图3所示,主要有:访谈、实地调研、问卷调查和案例梳理、制度流程梳理等。

      风险辨识常用的工具有决策树、故障树、风险源清单、风险档案表、阶段风险报告和“条件→转换→后果”图等。

      除了常规的德尔菲法、层次分析法和模糊分析法之外,近年来神经网络分析法运用空间也越来越乐观。

      

      图3 风险评估的方法

      神经网络分析法:神经网络是一种用于解决高度非线性关系的网络模型。各种神经网络模型中较为常用的是BPN网络模型。BPN通过对所要解决问题的知识存储以及对样本的学习训练,不断改变网络的连接权值以及连接结构,从而使网络的输出结果接近预期的输出的方法。它的主要特点是具有大量平行处理、非线性输出及利用多层结构预测的能力。在实践中,审计人员可以混合或配套使用不同的风险评估方法和工具以实现对风险的量化判断。

      三、评价被审单位对IT环境下风险的控制

      审计人员与管理人员一样都需要了解企业的内部控制情况。不同的是管理人员是为了更好地改进内部控制以保证管理目标的实现,而审计人员是为了对其进行恰当的评价以利于将总体审计风险控制在可接受的水平内。

      (一)IT环境下各种控制之间的联系。IT环境下的控制类型和数量都非常大,导致纷繁复杂,在评价被审单位对IT环境的控制情况前,需要将各种控制之间的关系进行梳理。

      在理清控制之前需要对控制进行分类整理,形成相互之间的映射关系。如图4所示,本文建立时间、方法、对象三个维度。控制时间维度则可以从预防性、检测性、纠正性三个方面进行分析;控制方法维度包括技术控制与组织控制;控制对象的维度则有IT流程和业务流程的控制。

      总之,应用于IT流程上的控制措施和应用于业务流程上的控制措施是类似的,即组织控制手段和技术控制手段共同存在,并会同时执行预防性控制、检测性控制、纠正性控制。

      

      图4 IT环境下风险控制的三维图

      (二)IT环境下被审单位风险的控制。IT环境下的组织具有IT和组织两个特点,是一种互构系统。通常,组织可以通过规划来指导组织成员的活动,通过预算来控制消费,通过审计来检查各部门或各个人是否按照规定进行活动,并提出更正措施。

      但是IT在发展过程中也形成了一套自身的控制措施,主要是技术控制,例如奇偶校验、加密控制、口令控制等。因此,IT与组织的互构需要采取合适的方法进行综合控制。本文认为,相关的控制之间必然要形成一个有机的整体(如图5所示),仅依靠单项控制措施是无法有效地应对IT所引发的风险。

      

      图5 IT环境下被审单位风险控制的结构图

      (三)风险控制的评价。风险控制评价的内容一般包括:对不同层面的风险控制的评价,包括企业整体层面和活动层面,此时要了解企业整体层面风险控制评价结果对活动层面控制评价的影响;对某一层面内风险控制构成要素的评价。然而,不论是某一层面的控制评价还是整体的控制评价,都需要制定统一的控制评价标准模式。

      控制评价标准模式主要包括控制目标、风险点、控制措施。

相关文章: